精易论坛

标题: 关于运行dll的一些干货(软件寄生式运行,可以躲避某些检测) [打印本页]

---

作者: xiaoka2018    时间: 2021-7-28 10:20
标题: 关于运行dll的一些干货(软件寄生式运行,可以躲避某些检测)

无意中看到坛友发的帖子https://125.confly.eu.org/thread-14691593-1-1.html

才发现原来有挺多人不知道此类操作的相关知识，这里就把我知道的分享出来。

第一种

通过命令行：regsvr32 /n /i /s  文件名

若是写窗口程序，直接在 _启动子程序 里添加载入窗口命令即可

第二种

rundll32 文件名 函数名

这条命令一般人不太推荐使用，因为它必须要传递一个函数名（公开的子程序）

以易语言为例，它会先执行 _启动子程序 然后再执行那个函数的命令

如果传递的函数是 _启动子程序 则会重复两次 所以如果没有需求的话

要么 _启动子程序 里不写任何操作 函数里操作，反之传递一个无任何操作的函数也可

以上两种命令都可以使用易语言的 运行 命令来执行

第三种

这个需要用到精易模块的 程序_调用DLL命令 (“文件名”, “”) 命令

由于它必须传递一个函数，所以就直接传递个空白函数

以上三种方法不相上下，如果是使用第三种的话

个人建议不要写过多的命令，然后使用黑月编译

因为都是采用寄生的方式运行，程序需要保持运行

过多的不必要的命令会被特征检测

非常非常建议大家使用以上三种方法运行之后把dll的本体文件名修改了，更名命令直接写在dll里

修改文件名的好处就是即使进程模块被扫描出来，路径也是无效的，一定程度防止特征

毕竟我也不知道有没有技术可以就算改名了也能找到进程关联文件，具体用途自测

最后附上测试例子 例子.zip (381.28 KB, 下载次数: 227)

2021-7-28 10:20 上传

点击文件名下载附件
下载积分: 精币 -2 枚

---

作者: 一一一2    时间: 2021-7-28 10:23
这才是高手 各种方法都会 ！

---

作者: 1185384801    时间: 2021-7-28 10:28
严格的说这不是寄生运行，三种方案的Dll都是走正常的系统机制运行的。
regsvr32是直接调用Dll中的DllRegisterServer接口进行zc。
rundll32是win32下一种指定运行Dll的接口的COMAPI处理方案。
至于程序_调用DLL命令基本和程序正常调用Dll没区别了。

---

作者: xiaoka2018    时间: 2021-7-28 10:36

1185384801 发表于 2021-7-28 10:28
严格的说这不是寄生运行，三种方案的Dll都是走正常的系统机制运行的。
regsvr32是直接调用Dll中的DllRegist ...

dll必须依赖进程运行，相当于细菌与宿主的关系。所以我都将这些行为统称为寄生，而且这样有助于不懂得人快速理解。

---

作者: 淡淡香草味    时间: 2021-7-28 11:59
发个帖只能切身体会下被喷的滋味，无论你做的好与不好，反正总能找到喷你的理由。喷你是口号，用你的东西是需要

---

作者: zzh233    时间: 2021-7-28 13:13
万分感谢您的知识分享 正好用得上

---

作者: kdabiao    时间: 2021-7-28 13:38
感谢分享~

---

作者: gaoqing    时间: 2021-7-28 16:14
学习下 看看

---

作者: a3960382663    时间: 2021-8-8 20:43
大牛都在内核阶层分析了

---

作者: 小迷人啦啦啦    时间: 2021-9-10 19:44
大牛都在内核阶层分析了，你还停留在调度层

---

作者: 鑫豪学    时间: 2021-10-28 10:53
666666666611111

---

作者: 仙人板板i    时间: 2021-10-28 11:11
感谢分享~

---

作者: liyunlong1990    时间: 2021-11-10 08:35
加油6666666

---

作者: ggyy1314    时间: 2022-2-11 12:21
66666666666666666666666666666666666

---

作者: tsl0413    时间: 2022-2-14 16:59
万分感谢您的知识分享 正好用得上

---

作者: a16242911    时间: 2022-4-6 12:02
{:7_456:}{:7_456:}

---

作者: a16242911    时间: 2022-4-6 12:03
{:7_462:}

---

作者: w322zkkw    时间: 2022-5-17 03:17
鹅鹅鹅鹅鹅鹅鹅鹅鹅鹅鹅鹅鹅鹅鹅

---

作者: q229101    时间: 2022-5-18 22:36
以上三种方法不相上下，如果是使用第三种的话

---

作者: 冰块爸爸    时间: 2022-7-23 19:23
感谢分享

---

作者: Hacklanyan    时间: 2023-9-27 01:10
666666666666666

---

作者: Hacklanyan    时间: 2023-9-27 01:10
6666666666666666666666666666666666666666666666

---

作者: yangjz    时间: 2023-12-6 03:00
我发嘎嘎哇嘎哇

---

作者: 幕凉    时间: 2024-1-30 12:45
感谢分享~

---

作者: 木木的树    时间: 2024-5-1 01:03
66666666666666666666666666666

---

作者: LiYJ    时间: 2024-6-20 23:22
感谢发布原创作品，精易因你更精彩！

---

作者: cuijiale    时间: 2024-10-15 23:28
正好需要感谢分享

---

作者: danshiyuan    时间: 2025-1-27 16:37
这里讨论问题，教授大家方法，那么你就是值得大家钦佩的。那些喷子，把你的方法发出来，别总做做个键盘侠

---

欢迎光临 精易论坛 (https://125.confly.eu.org/)

Powered by Discuz! X3.4